E-poster fra Duolingo-uglen er vanligvis i verste fall et irritasjonsmoment. Men nettkriminelle har nå hendene på e-postadressen din og Duolingo-data, så de kan sende deg svært målrettede e-poster for å lokke deg inn i phishing-feller.
Her er grunnen til at du ikke lenger kan stole på e-poster fra Duolingo.
Innholdsfortegnelse
Hvordan fikk angripere informasjonen din fra Duolingo?
Tro det eller ei, de fleste av Duolingo-dataene dine er tilgjengelige for alle med forbigående interesse og litt tid på hendene. Du kan se grunnleggende profildata som brukernavn, profilbilder og språk som studeres ved å gå til https://www.duolingo.com/profile/[username]– brukernavnet er profilen til den du er interessert i.
Hvis du har et par timer å drepe, kan du undersøke noen dusin profiler, sjekke om brukernavnene brukes andre steder eller til og med kjøre et omvendt bildesøk på profilbildet og se hvor ellers det vises på internett.
Det er en morsom måte å fordrive tiden på, men ineffektiv hvis målet ditt er å samle enorme mengder data, og det er ganske enkelt å bygge en applikasjon som vil skrape data fra nettsteder for deg.
Ved å bruke en plattforms eget Application Programming Interface (API), er det enda enklere å samle enorme mengder offentlige data fra plattformer som Facebook, Twitter, LinkedIn eller Duolingo.
I januar 2023, Rekorden rapporterte at hackerne hadde brukt Duolingos API for å skrape de offentlige dataene til 2,6 millioner brukere, og hadde lagt ut dataene for salg på det nå nedlagte breached.to-forumet.
Mens Duolingo erkjente at dataene var gyldige, insisterte selskapet på at det var offentlig tilgjengelig profildata og at ingen hack eller datainnbrudd hadde skjedd.
22. august 2023 avslørte skadevaremarkedsplassen VX-Underground på X (plattformen tidligere kjent som Twitter) at disse skrapte dataene også inneholdt brukere-e-postadresser, og at de kunne og hadde blitt brukt til å innhente ytterligere informasjon, inkludert navn og telefonnummer .
Hvordan kan Duolingo-dataene brukes mot deg?
E-poster fra Duolingo er så vanlige at de har blitt et stift meme. Hvis du går glipp av en dags esperanto-trening, vil Duolingos uglemaskot, Duo, dukke opp i innboksen din for å fortelle deg at han er trist.
Svagt truende e-poster dukker opp like etter, sammen med e-poster som forteller deg at rekken din har blitt frosset, deretter brutt, og at du sklir nedover topplistene, og deretter oppfordringer om å ta en tre-minutters leksjon.
Hver e-post vil inneholde informasjon om dine siste språkopplæringsaktiviteter, og gi en praktisk lenke for deg å logge inn på nettstedet.
Nå er navnet ditt, Duolingo-informasjonen og aktiviteten i hendene på potensielle kriminelle, det er trivielt enkelt å automatisk lage phishing-e-poster som vil overtale deg til å klikke på lenken.
Vi anser det som sannsynlig at koblingen vil be deg om å logge på – og gi angripere passordet ditt også.
Svindel-e-poster kan virke enda mer autentiske hvis angripere drar nytte av de mange tilgjengelige Duolingo-domenene. Ville du stole på en e-post fra duolingo.live, duolingo.tech, duolingo.world eller duolingo.life? Alle er for øyeblikket tilgjengelige for under $10, mens den litt mer overbevisende duolingo.club kan fås for den relativt høye prislappen på rundt $600 (i skrivende stund).
Med din e-postadresse og passord kan kriminelle begynne å angripe de andre nettkontoene dine.
Slik beskytter du deg mot Duolingo-phishing-svindel
Hvis du er bekymret for at dataene dine kan bli inkludert i datasettet på 2,6 millioner oppføringer, er det første du bør gjøre å gå til haibeenpwned, og skriv inn e-postadressen din. Hvis det er der, vil du se bruddene der dataene dine ble avslørt.
Deretter bør du melde deg av alle Duolingo-e-poster. De er uansett irriterende, og hvis noen kommer inn i innboksen din, vil du vite at de er fra svindlere. Gjør dette ved å bruke en historisk, sannferdig melding fra tjenesten, siden til og med avmeldingsknapper kan være svindel!
Det er alltid en god idé å lage et eget passord for hver tjeneste du bruker. På denne måten, hvis passordet ditt er kompromittert i et datainnbrudd, eller du ved et uhell avslører det i et phishing-angrep, kan det ikke brukes på noen av de andre kontoene dine.
Hvis du kan, bruk en unik e-postadresse for hver nettside eller app også. Det er enkelt å skjule e-postadressen din, og vil forhindre at den blir sendt rundt for bruk i andre svindel- eller spamkampanjer. Vi anbefaler enkel fangst-videresending av e-post for dette.
Duolingo er ikke den eneste måten å lære et nytt språk på
Hvis du er misfornøyd med måten Duolingo gjorde dine offentlige og private data tilgjengelige på gjennom sitt eget API, eller kanskje du er frustrert over dens didaktiske taktikk og pedagogiske pedanteri, kan det hende du vurderer å forlate Duo for godt.
Å forlate Duolingo betyr ikke at du må gi fra deg studiene, og det er mange flotte nettsteder som kan hjelpe til med å lette belastningen med å lære språk på nettet.